Indicadores e casos de sucesso em Segurança
e Performance Web
Paulo Cacciari
30 de maio de 2014
Diretor Comercial, Exceda
Temos escritórios em
5 países
Plataforma de
+140.000 servidores
Entregamos mais de
25% do tráfego da
internet no mundo
Plataforma no Brasil
Estamos muito
próximo do seu
cliente e vamos
garantir maior
disponibilidade,
agilidade na
resposta e
escalabilidade da
infra estrutura.
+5 mil
servidores
Presença em
+40 cidades
+100 pontos de
presença em +20
operadoras
SEGURANÇA
MEDIA DELIVERY
ACELERAÇÃO
Proteção DDoS
Streaming de Vídeo
Aplicações WEB
Segurança
O Que é um DDoS ?
Data Center
do Cliente
Usuário
final
Volume de ataque por pais
TOP 7
40
35
30
25
20
21.88
21.3
15
17.79
10
10.59
5
6.12
4.73
2
0
5.51
7.63
3.5
Q1 2013
China
USA
5.01
0.2
0.2
Q1 2014
Alemanha
Brasil
India
Iran
Franca
Volume de ataque em Gbps
30
25
20
22
24
15
17
10
12
5
7
9
7
0
Q2 2013
< 1 Gb
1 -5 Gbps
5 - 10 Gbps
10 - 20 Gbps
20 - 40 Gbps
40 -60 Gbps
> 60 Gbps
Volume médio gerado pelos ataques
Crescimento(Gbps)
10
9.17
9
8
7
6
5
4
4.17
4.53
3
2
1
0
Q1 2013
Q4 2013
Q1 2014
4
13
1
% dos ataques
na camada de
aplicação
17
horas em
média
Ataques realizados
em Q1 de 2014
87
% dos
ataque na
camada da infra
estrutura
3
2
39
% de crescimento
no tamanho médio do
ataque
Equipamentos
Imperva, F5, Barracuda, Arbor
DDoS “Scrubber”
Defesa por desvio de tráfego BGP
Cloud WAF
Defesa na Borda, Escalável, Camada 7
Soluções em DDoS
Diferentes abordagens para a defesa
contra ataques de Distributed Denial of
Service
Equipamentos
•
•
•
•
•
Protege aplicações críticas
Infra estrutura concentrada - ponto único de falha
Capacidade de processamento limitada
Fácil adequação as peculiaridades da aplicação
Visibilidade e controle
DDoS "Scrubber"
Scrubbing
Center
O Tráfego enviado ao tunel GRE
responde direto ao usuario da aplicação
Primeiro, o tunel GRE é configurado
para desvio do tráfego para o DC
IP Address
5.6.7.8
Customer
Datacenter
ANUNCIO BGP
Para o IP 1.2.3.4,
IP Address
Vá
para 5.6.7.8
1.2.3.4
Quando o ataque é detectado
o cliente executa a
mudança no BGP
SLA de Mitigação
Mitigação em Cloud
Tempo de Mitigação
(típico)
Tempo de Mitigação
(SLA)
UDP/ICMP Floods
0 minutos
1 minuto
5 minutos
SYN Floods
0 minutos
1 minuto
5 minutos
TCP Flag Abuses
0 minutos
1 minuto
5 minutos
GET/POST Floods
0 minutos
10 minutos
20 minutos
DNS Ataques
0 minutos
5 minutos
10 minutos
Categoria de Ataque
Atua em todas os
protocolos e portas
Depende de uma
detecção prévia
Acesso sempre pelo
Scrubbing DC
Análise detalhada dos
pacotes
WAF: Web Application Firewall
Data Center
do Cliente
Aplicação de Firewall web
distribuída pela Akamai
› SQL Injection
› Cross Site Scripting
› Outros ataques HTTP
Conexão
confiável
Proteção de camadas de rede e aplicação
na borda da internet e longe da sua infraestrutura.
Scrubber
Usuário
final
HTTP e HTTPs (80 e
443)
Bloqueia o ataque na
origem
Sempre ativo
Eficiente em camada
de aplicação
Soluções para proteção DDoS
Suporte 24/7 e Integração de Ambiente de Segurança Exceda
Serviços gerenciados
e correlacionamento
dos eventos para
análise de eventos
passados e atuação
pro-ativa, com as
modificações de
regras para maior
nível de proteção.
Distributed Denial
of Service
"Scrubber"
Equipamentos
Web Application
Firewall Baseado
em Cloud
-
-
Capacidade
limitada
-
“Always on”
-
Único ponto de
falha
Eficiente em
camada 7 de
aplicação
-
Alto
investimento
-
Garante melhor
performance
-
Proteção para
ataque de
inteligência
-
-
Voltado para
ataques de
volumetria
Necessário
desvio do
tráfego
Reativo
Benefícios da solução
• Segurança
– Aumenta nível de segurança das aplicações web protegendo
• Ataques na camada de transporte e na infra estrutura
• Ataques na camada de aplicação (camada 7)
• Ataques no DNS
• Performance
– Melhor em pelo menos 30% o desempenho de carregamento das aplicações no
browser do usuário
• Disponibilidade
– SLA de 100% de disponibilidade da plataforma
– Escalabilidade infinita
Aceleração de Serviços Online
Proteção de DNS
Web Application Firewall
Site Shield
Banco Santander
Proteção de Website de serviços bancários
Solução:
Suíte de Aceleração e Serviços de Segurança
Objetivo:
Mitigar efeitos de ataques tipo DDoS de forma
emergencial e expandir para proteção completa
Implementação
emergencial:
2 dias (DSA)
e-DNS
Solução completa:
WAF
DSA Sec ( http/https)
Site Shield
Medições de Resultados - Tráfego
Primero dia de tráfego, pós
implementação dos serviços
Tráfego máximo de
mais de 60 Mbps,
com taxa de
eficiência de mais
de 78% de offload
de banda.
Ou seja, para um
consumo de cerca
de 70 Mbps da
origem necessita
apenas de 15 Mbps.
Medição de Resultados - Requerimentos
Offload de
requerimentos de
88%, ou seja,
apenas 12%
haviam sido
enviados para
origem.
Comportamento pós ataque
Em meia hora, o
tráfego passou de
60 Mbps para
1,5 Gbps.
Uma parte muito
pequena dos
requerimentos foi
passada para
website de origem.
Comportamento pós ataque
Durante o ataque,
apenas 1% dos
requerimentos não
foram atendidos
pelo website de
origem, o mesmo
percentual do dia
anterior.
Os clientes não
perceberam que o
site estava sendo
atacado, já que a
disponibidade não
diminuiu.
Resultados Comprovados
1. Redução no de uso de infraestrutura
• A utilização dos serviços da Akamai gerou um off-load de 78% de banda e de 88% de
requerimentos na origem.
2. Capacidade de absorção dos ataques e proteção do website
• O incremento de cerca de 25 vezes do tráfego devido ao ataque não gerou bloqueios ou
impactos operativos nos serviços.
3. Disponibilidade e percepção de qualidade
• Todos os serviços seguiram funcionando normalmente, sem nenhum impacto para os clientes
do banco, gerando confiança e protegendo a marca.
Mídia
Financeiro
E-Commerce
+300CLIENTES
Cobertura do Programa de Canais
+30 Canais
RED CAST
Obrigado
Paulo
Cacciari
[email protected]